مقابله با حملات وب

منتشر شده در دسته : بلاگ, تست نفوذ وب

چگونه به مقابله با حملات وب بپردازیم ؟ درحالیکه اکسپلوییت ها و پیلودها بیشتر جذابیت را در میان جامعه هکرها دارند , برخی از شماها وظیفه رفع آسیب پذیری ها به عنوان یک هکر قانونی را برعهده دارید.

بیشتر تخصص هایی که مستلزم هک اخلاقی هستند , نیازمند تعیین و پیاده سازی استراتژی های بازدارنده به منظور جلوگیری از حملات آینده هستند. همانطور که در قبل اهداف ما برای حمله وب سرورها , اپلیکیشن های وب و کاربران وب بودند , استراتژی های بازدارنده نیز نیازمند بررسی این اهداف هستند.

مقابله با حملات وب سرور

استراتژی های بازدارنده مختلفی به منظور مقابله با حملات وب سرورها وجود دارند. برخی از این استراتژی های بیش از 10 سال عمر دارند ولی هنوز هم به دلیل ضعف امنیتی موجود در وب سرورها 100 درصد عملی و قابل اجرا هستند.

محکم کردن سرور

سه مورد از 10 استراتژی برتر OWASP را در اینجا بیان می کنیم . تقریبا همه مدیران وب سرور بر این باورند که این سه مورد توصیه های بسیار مهمی هستند .

1. یک فرایند محکم سازی قابل تکرار توسعه دهید تا ایجاد و جایگزینی و استقرا یک محیط مناسب و محکم شده را سریع کند. توسعه , تست و ایجاد محیط ها بایستی همگی به یک شکل پیکربندی شوند . این فرآیند بایستی اتوماسیون شود تا تلاش مورد نیاز برای نصب یک محیط امن و جدید را به حداقل برساند.

2. فرایندی برای جایگزینی و بروزرسانی جدیدترین پچ های نرم افزاری به صورت زمان بندی شده توسعه دهید . این فرایند بایستی برای کدهای کتابخانه ای نیز انجام شود (که اغلب نادیده گرفته می شوند)

3. به صورت مداوم و طبق برنامه زمانی وب سرور را اسکن کنید و بازرسی های لازم و تست های نفوذ داخلی و خارجی را بر روی آن پیاده سازی کنید تا از نفوذ های بعدی جلوگیری و از وجود پیکربندی های بد مطلع شوید.

پیام های خطای عمومی

یکی دیگر از جنبه های مهم آسیب پذیری های وب سرور درز اطلاعاتی است که از طریق پیام های خطای طولانی (Verbose messages) از سمت سرور ایجاد می شوند. زمانی که یک اپلیکیشن وب به صورت عادی با خطا مواجه می شوند , معمولا در مواجه با صفحه وب پیام خطایی نمایش داده می شود. ولی نکته مهم این است که این پیام خطا اطلاعات حیاتی وب سرور (که مورد نیاز هکر می باشد) را درز نکند. یکی از بهترین منابع اطلاعاتی برای حملات مهندسی اجتماعی همین خطای نمایش داده شده از وب سرور می باشد. به منظور رفع این مشکل می توان از پیام های خطای عمومی استفاده کرد . مثال بارز این خطاها همان صفحات 404 و 503 internal server error هستند . استفاده از این خطاها به جای مثلا نمایش یک باگ موجود در یک فایل php شاید فرایند عیب یابی را با مشکل مواجه کند ولی توسعه دهنده وب بایستی به جای تکیه بر خطاهای نمایش داده شده در این صفحات به لاگ های وب سرور مراجعه کرده و از این طریق محیط امن تری ایجاد کند.

مقابله با حملات اپلیکیشن های وب

متاسفانه درست مثل وب سرورها , استراتژی های بازدارنده اپلکیشن های وب نیز به درستی و در همه شرایط موجود پیاده سازی نمی شوند. Enterprise Security Application Interface یا ESAPI پروژه بزرگی است که شامل لیست بلندی از کتابخانه های موجود به منظور کمک به ایمن سازی اپلیکیشن های وب می باشد . این کتابخانه طراحی و ایجاد شده اند تا برنامه نویسان بهبود و ارتقا امنیت اپلیکیشن های وب را به آسانی انجام دهند و همچنین پایه و اساس محکمی برای توسعه های جدید نرم افزاری باشد.

مقابله با تزریق ها

یکی دیگر از راههای مقابله با حملات وب , مقابله با تزریق ها می باشد . استراتژی های بازدارنده ای به منظور مقابله و محافظت در مقابل حملات تزریق ایجاد شده اند . محیط های برنامه نویسی که بیشتر برنامه نویسان وب امروزه از آنها استفاده می کنند بسیاری از این ایده ها را پیاده سازی کرده اند.

  • استفاده از کوئری های دارای پارامتر : این قدیمی ترین توصیه برای مقابله با حملات تزریق اسکیوال که در آن نگهدارنده ها (متغیرها) به منظور ذخیره سازی ورودی ها (قبل از تجزیه و تحلیل توسط مفسر اسکیوال) استفاده می شوند.این کار موجب جلوگیری از به هم ریختگی کوتیشن ها خواهد شد . از این طریق تلاش هکر برای تزریق اسکیوال و بستن یک بخش از دستورات از قبل نوشته شده اسکیوال با شکست مواجه شود . علاوه بر این ایده استفاده از متغیرها اجازه پردازش های اضافه تر بر روی ورودی های کاربر قبل از تجزیه تحلیل توسط مفسر اسکیوال را خواهد داد.
  • عبور از سینتکس های مخرب : این کار از طریق کدهای سمت سرور قبل از رسیدن کد به مفسر اسکیوال را خواهد داد که در نتیجه آن همه کاراکترهای مخرب شناسایی می شوند. پروژه ESAPI حاوی توابع انکودینگ و دکودینگ قدرتمندی به منظور اجرای عبور از کاراکترها می باشد.

صاحب امتیاز نت آموز : نویسنده , مدرس و متخصص در زمینه امنیت شبکه های رایانه ای

نظرات غیرمرتبط با محتوای این مطلب تایید نخواهند شد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *